| ps2013-006-08-005-032.u1.p1.s1
| 32. |
| ps2013-006-08-005-032.u1.p1.s2
| Vládní návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) /sněmovní tisk [81](https://www.psp.cz/sqw/historie.sqw?T=81&O=7)/ - prvé čtení |
| ps2013-006-08-005-032.u1.p2.s1
| Z pověření vlády předložený návrh uvede předseda vlády Bohuslav Sobotka. |
| ps2013-006-08-005-032.u1.p2.s2
| Prosím, pane premiére, máte slovo. |
| ps2013-006-08-005-032.u2.p1.s1
| Děkuji. |
| ps2013-006-08-005-032.u2.p1.s2
| Vážený pane místopředsedo, vážené kolegyně, vážení kolegové, vzhledem k tomu, že vláda dosud ještě nemá ministerstvo pro kybernetickou bezpečnost a domnívám se, že ani v nejbližších letech takovýto centrální vládní úřad zřízen a zřizován nebude, tak nezbylo nic jiného, než abych tento návrh předložil Poslanecké sněmovně jako předseda vlády. |
| ps2013-006-08-005-032.u2.p1.s3
| Nicméně nechci v žádném případě zpochybňovat potřebu a naléhavost přijetí takovéto legislativní úpravy v rámci našeho právního řádu. |
| ps2013-006-08-005-032.u2.p2.s1
| Pokud jde o samotný návrh zákona o kybernetické bezpečnosti, základním jeho cílem je zajištění bezpečnosti kybernetického prostoru. |
| ps2013-006-08-005-032.u2.p2.s2
| Za tímto účelem vládní návrh zákona formuluje soubor oprávnění a povinností, které směřují k nastavení mechanismů aktivní a účinné spolupráce mezi soukromým sektorem a veřejnou správou s cílem účinné ochrany před hrozbami, které mohou z kybernetického prostoru přijít. |
| ps2013-006-08-005-032.u2.p2.s3
| Nastavením předvídatelného a transparentního postupu pro subjekty, které budou zatíženy novou zákonnou regulací, se zajistí detailní přehled o hrozbách a rizicích, jež se vyskytují v kybernetickém prostoru, a umožní se reagovat v rychlém sledu na hrozby, které ohrožují bezpečnost informací v informačních systémech nebo bezpečnost služeb a sítí elektronických komunikací. |
| ps2013-006-08-005-032.u2.p3.s1
| Návrh zákona si neklade za cíl - a ani nemůže - postihnout všechna rizika, která se mohou dotknout všech uživatelů kybernetického prostoru, ale snaží se ochránit kritickou informační infrastrukturu a významné informační systémy, jejichž narušení by vedlo k poškození nebo ohrožení zájmů České republiky. |
| ps2013-006-08-005-032.u2.p3.s2
| Pro subjekty, na něž dopadá regulace, jsou v návrhu zákona stanoveny konkrétní povinnosti, prostřednictvím kterých dojde ke zvýšení ochrany kritické informační infrastruktury a významných informačních systémů. |
| ps2013-006-08-005-032.u2.p4.s1
| Návrh zákona rovněž reaguje na mezinárodní situaci, kdy posílení ochrany kritické informační infrastruktury je i cílem současných aktivit Evropské unie. |
| ps2013-006-08-005-032.u2.p4.s2
| Ke splnění těchto požadavků je nezbytné vybudovat legislativní rámec na institucionální a také technické zajištění spolupráce na národní a mezinárodní úrovni, koordinaci opatření při prevenci, ale také odstraňování následků kybernetických bezpečnostních incidentů. |
| ps2013-006-08-005-032.u2.p4.s3
| A pro další činnost je to také nezbytné ke zvyšování všeobecného povědomí o kybernetických hrozbách a jejich eliminaci. |
| ps2013-006-08-005-032.u2.p5.s1
| Konečným cílem uvedených aktivit je vytvoření a udržení důvěryhodné, konkurenceschopné informační společnosti s důrazem na rozvoj svobodného a bezpečného využívání a sdílení informací a v neposlední řadě i zlepšení obrazu státu v této oblasti, a to jak v národním kontextu, tak i z hlediska našich vztahů zahraničních. |
| ps2013-006-08-005-032.u2.p6.s1
| Vážené poslankyně, vážení poslanci, věřím, že navržený systém na základě předkládaného návrhu zákona povede k dosažení shora uvedených cílů, a stejně tak věřím, že navržený systém, a tím celý návrh zákona o kybernetické bezpečnosti Poslanecká sněmovna podpoří a umožní jeho projednávání i ve druhém a třetím čtení. |
| ps2013-006-08-005-032.u2.p6.s2
| Děkuji. |
| ps2013-006-08-005-032.u3.p1.s1
| Děkuji panu premiérovi a nyní prosím, aby se ujal slova zpravodaj pro prvé čtení pan poslanec Václav Klučka. |
| ps2013-006-08-005-032.u3.p1.s2
| Prosím, pane poslanče, máte slovo. |
| ps2013-006-08-005-032.u4.p1.s1
| Děkuji vám, pane předsedající. |
| ps2013-006-08-005-032.u4.p1.s2
| Pane premiére, vážená vládo, kolegyně, kolegové, já jsem ani netušil, když jsem se dozvěděl, že se stanu zpravodajem zákona o kybernetické bezpečnosti, co mě už v té jeho přípravě čeká, s jakými názory a s jakým prostředím se tady setkávám. |
| ps2013-006-08-005-032.u4.p2.s1
| Dovolte mi tedy, abych jako zpravodaj tohoto vládního návrhu vám trošinku představil tento zákon, včetně zákonů o změně souvisejících zákonů s kybernetickou bezpečností, přičemž bych především dal důraz na to, že oblast kybernetické bezpečnosti - a to prosím začněme takto vnímat - se stane jedním ze základních pilířů celé oblasti vnitřní bezpečnosti státu. |
| ps2013-006-08-005-032.u4.p3.s1
| Prozatím to takto nevnímáme, prozatím se na to díváme jako na specifickou záležitost, ale toto opravdu bude jeden ze základních pilířů vnitřní bezpečnosti státu. |
| ps2013-006-08-005-032.u4.p3.s2
| Takto je to třeba vnímat, neboť to doprovází celý život této společnosti, a pokud budeme mluvit o vnitřní bezpečnosti státu, pak prosím vás pěkně mluvme o tom, kde jsou základní cíle a úlohy státu v zajištění vnitřní bezpečnosti státu. |
| ps2013-006-08-005-032.u4.p3.s3
| Toto je opravdu celý komplex věcí, které souvisí s integrovaným záchranným systémem a dalšími záležitostmi, které do vnitřní bezpečnosti zařadíme. |
| ps2013-006-08-005-032.u4.p3.s4
| Je jenom škoda, že ještě na zákonu o vnitřní bezpečnosti, o kterém já už tady dlouho mluvím ve Sněmovně, prozatím tak intenzivně nepracujeme. |
| ps2013-006-08-005-032.u4.p3.s5
| Zajištění kybernetické bezpečnosti státu je opravdu klíčová výzva současné doby. |
| ps2013-006-08-005-032.u4.p3.s6
| Absence geografických hranic v kyberprostoru a všudypřítomnost kybernetických hrozeb vyžadují intenzivní mezinárodní spolupráci a budování národních kapacit k zajištění kybernetické bezpečnosti státu. |
| ps2013-006-08-005-032.u4.p4.s1
| Dámy a pánové, tento zákon o kybernetické bezpečnosti je založen na těchto základních zásadách: minimální zásah, minimální zásah do práv osob soukromého práva, individuální odpovědnost za bezpečnost vlastní sítě, princip technologické neutrality, princip ochrany informačního sebeurčení člověka. |
| ps2013-006-08-005-032.u4.p5.s1
| Základním cílem návrhu zákona o kybernetické bezpečnosti je zvýšit bezpečnost kybernetického prostoru a zavést systém dobře fungující spolupráce mezi veřejnou správou a soukromým sektorem za účelem efektivního řešení kybernetických rizik. |
| ps2013-006-08-005-032.u4.p5.s2
| Návrh zákona v této souvislosti zavádí konkrétní oprávnění a povinnosti vybraným subjektům, jež mají za cíl zajištění dostatečné bezpečnosti kybernetického prostoru. |
| ps2013-006-08-005-032.u4.p5.s3
| Subjektům, na které bude regulace zákona dopadat, jsou v návrhu zákona stanoveny konkrétní věci, které mají za cíl, především zvýšit ochranu jimi spravovaných informačních systémů nebo sítí, které provozují. |
| ps2013-006-08-005-032.u4.p5.s4
| Jedná se přitom o tyto základní povinnosti: povinnost zavést bezpečnostní opatření, povinnost hlásit kybernetické bezpečnostní incidenty, povinnost oznámit kontaktní údaje a jejich změny, povinnost provést nezbytná opatření za účelem řešení kybernetického bezpečnostního incidentu. |
| ps2013-006-08-005-032.u4.p6.s1
| Dámy a pánové, jak se následně dozvíme, tento zákon organizační výbor dal k projednání bezpečnostnímu výboru, s tím, že já pak v rozpravě navrhnu projednání i ve výboru pro obranu, neboť se domnívám, že tyto dva výbory jsou ty, které by mohly tento zákon skutečně projednat, a dobře projednat, a prosím vás o to, abyste tento zákon propustili do druhého čtení. |
| ps2013-006-08-005-032.u4.p6.s2
| Děkuji vám. |
| ps2013-006-08-005-032.u5.p1.s1
| Děkuji panu poslanci Klučkovi. |
| ps2013-006-08-005-032.u5.p1.s2
| Otevírám obecnou rozpravu, do které zatím eviduji tři přihlášky. |
| ps2013-006-08-005-032.u5.p1.s3
| Jako první se přihlásil pan poslanec Matěj Fichtner. |
| ps2013-006-08-005-032.u5.p1.s4
| Prosím, pane poslanče, máte slovo. |
| ps2013-006-08-005-032.u6.p1.s1
| Vážený pane předsedající, dámy a pánové, dobrý den. |
| ps2013-006-08-005-032.u6.p1.s2
| Jsem trochu nachlazen, doufám, že mi budete rozumět. |
| ps2013-006-08-005-032.u6.p2.s1
| Dovolte mi tedy uvést komentář k předkládanému návrhu zákona o kybernetické bezpečnosti. |
| ps2013-006-08-005-032.u6.p2.s2
| Rád bych také v průběhu svého vystoupení upozornil na určitá úskalí předlohy, z nichž některá, jak doufám, se v průběhu projednávání na půdě Poslanecké sněmovny podaří korigovat. |
| ps2013-006-08-005-032.u6.p3.s1
| Zákon jako celek navazuje na dlouhodobou snahu o zajištění bezpečnosti informačních systémů a komunikačních sítí v ČR. |
| ps2013-006-08-005-032.u6.p3.s2
| Odráží přitom celosvětový trend, kdy veřejná sféra zasahuje do soukromé sféry formou regulace u těch odvětví, která považuje za hodná mimořádné ochrany, jako je například bankovnictví nebo energetika. |
| ps2013-006-08-005-032.u6.p3.s3
| V případě regulace digitálního prostředí se jedná především o reakci na množící se kybernetické útoky na informační systémy, které, jak ukazují především zahraniční zkušenosti, nemusejí být pouze dílem jednotlivců nebo jednotlivých útočníků, ale též celých organizovaných skupin. |
| ps2013-006-08-005-032.u6.p3.s4
| V některých případech panují obavy, že činnost těchto útočníků je skrytě organizována či financována zahraničními vládními či jinými mocenskými strukturami. |
| ps2013-006-08-005-032.u6.p3.s5
| Z tohoto pohledu je přirozené, že legislativní prostředí na tyto skutečnosti reaguje. |
| ps2013-006-08-005-032.u6.p4.s1
| Zde je však první kontroverze. |
| ps2013-006-08-005-032.u6.p4.s2
| V evropském i celosvětovém kontextu jsme totiž jedna z mála zemí, ne-li jediná, která by měla mít speciální zákon pro oblast kybernetické bezpečnosti. |
| ps2013-006-08-005-032.u6.p4.s3
| Předkladatel zákona, tedy tehdy ještě Rusnokova vláda, sice odůvodňuje jeho potřebu odkazem na návrh směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informací v Unii, kterou předložila Evropská komise dne 7. února 2013, tato směrnice však nebyla dosud schválena. |
| ps2013-006-08-005-032.u6.p4.s4
| Je pravděpodobné, že přijata bude, není to však jisté. |
| ps2013-006-08-005-032.u6.p4.s5
| Z tohoto pohledu se může jevit přijímání speciálního zákona jako předčasné a unáhlené. |
| ps2013-006-08-005-032.u6.p5.s1
| Nyní však k samotnému obsahu zákona. |
| ps2013-006-08-005-032.u6.p5.s2
| Zákon naštěstí nenaplňuje očekávání některých kritiků, kteří se obávali sledování obsahu informačních toků, či dokonce jejich cenzury. |
| ps2013-006-08-005-032.u6.p5.s3
| Soustředí se pouze na ochranu informační infrastruktury tak, aby zajistil právo jednotlivce na informační sebeurčení. |
| ps2013-006-08-005-032.u6.p5.s4
| Pevně doufám, že tomu tak zůstane i do budoucna a obsah internetu zůstane i nadále svobodný, bez jakéhokoliv zásahu státu do jeho obsahu, bez snah o ovlivnění toho, co může být na internetu zveřejněno, nebo snah o centrální sledování konkrétních aktivit jednotlivých uživatelů. |
| ps2013-006-08-005-032.u6.p6.s1
| Zákon se naštěstí dívá na kybernetickou bezpečnost z druhé strany, tedy pojímá kybernetickou bezpečnost jako snahu o zajištění kontinuity informačních služeb i v případech, kdy jsou tyto služby ohroženy určitou hrozbou. |
| ps2013-006-08-005-032.u6.p6.s2
| Zákon má z tohoto důvodu ambici vytvořit Centrální pracoviště kybernetické bezpečnosti, tzv. |
| ps2013-006-08-005-032.u6.p6.s3
| Computer Emergency Response Team, ve zkratce CERT, které se bude zabývat shromažďováním dat o bezpečnostních incidentech, které se odehrály u jednotlivých významných provozovatelů informačních a komunikačních systémů, tedy tzv. kritické informační infrastruktury, soukromých i veřejných. |
| ps2013-006-08-005-032.u6.p6.s4
| Na základě takto získaných dat bude pracoviště koordinovat na národní úrovni ochranná opatření, která by měla umožnit pružnou a komplexní reakci na případný kybernetický útok většího rozsahu. |
| ps2013-006-08-005-032.u6.p7.s1
| Koordinace CERT je svěřena Národnímu bezpečnostnímu úřadu. |
| ps2013-006-08-005-032.u6.p7.s2
| Z tohoto důvodu rozšiřuje zákon nejen působnost NBÚ, ale i jeho pravomoci ve vztahu k provozovatelům kritické informační infrastruktury a dalším provozovatelům, kteří budou NBÚ povinně předávat data o bezpečnostních incidentech a provádět příslušná opatření podle pokynů NBÚ, resp. CERT, pod hrozbou sankce. |
| ps2013-006-08-005-032.u6.p7.s3
| Vedle toho zákon svěřuje CERT také související kompetence v oblasti metodiky boje proti kybernetickým útokům. |
| ps2013-006-08-005-032.u6.p8.s1
| Zákon předpokládá, že vznikne veřejnoprávní pracoviště kybernetické bezpečnosti, tzv. vládní CERT, a soukromoprávní pracoviště kybernetické bezpečnosti, tzv. národní CERT. |
| ps2013-006-08-005-032.u6.p8.s2
| Veřejnoprávní pracoviště, tedy vládní CERT, je jistě přínosné v tom smyslu, že vytváří centralizovanou bezpečnostní strukturu dohlížející na bezpečnost klíčových součástí informační infrastruktury ve vlastnictví státu. |
| ps2013-006-08-005-032.u6.p8.s3
| Konstatuji, že tento záměr má mou plnou podporu. |
| ps2013-006-08-005-032.u6.p8.s4
| Zároveň by vládní CERT podle předlohy měl plnit podobnou funkci ve vztahu k vybraným soukromým subjektům, které provozují kritickou informační infrastrukturu. |
| ps2013-006-08-005-032.u6.p9.s1
| Jako do jisté míry problematické však vnímám zřízení a provoz národního CERT. |
| ps2013-006-08-005-032.u6.p9.s2
| Národní CERT má zajišťovat obdobnou funkci jako vládní CERT, ale ve vztahu k poskytovatelům služeb elektronických komunikací a soukromým subjektům, které nespadají do kategorie kritické informační infrastruktury. |
| ps2013-006-08-005-032.u6.p9.s3
| Provozovatelem národního CERT má být podle předlohy nikoli sám Národní bezpečností úřad, ale soukromý subjekt, s nímž bude mít Národní bezpečnostní úřad uzavřenu veřejnoprávní smlouvu. |
| ps2013-006-08-005-032.u6.p9.s4
| Předloha tedy ve své části týkající se modelu fungování národního CERT obsahuje jakýsi zvláštní mix mezi veřejnou a soukromou sférou, u něhož není jasně patrná hranice mezi tím, co je financováno, provozováno a vlastněno státem, a tím, co je financováno, provozováno a vlastněno soukromým subjektem. |
| ps2013-006-08-005-032.u6.p9.s5
| Tyto šedé zóny, kterých máme v českém právu už tak více než dost, vytvářejí vždy prostor pro plýtvání veřejnými prostředky, případně klientelismus. |
| ps2013-006-08-005-032.u6.p9.s6
| Je otázkou, zda je vytváření dalších takových šedých zón dnes vhodné a žádoucí. |
| ps2013-006-08-005-032.u6.p10.s1
| Poukázal bych zde na text koaliční smlouvy, která v bodě 11.2. stanoví, cituji: V žádném případě nepřipustíme, aby zajištění bezpečnosti v naší zemi bylo postupně privatizováno. |
| ps2013-006-08-005-032.u6.p10.s2
| Ptám se tedy, zda situace, kdy bude státem ustanovena bezpečností struktura, kterou bude provozovat soukromý subjekt na základě v podstatě výhradní licence, není právě takovou privatizací bezpečnosti v naší zemi. |
| ps2013-006-08-005-032.u6.p10.s3
| Jinými slovy, buď je nějaká oblast otázkou národní bezpečnosti, pak by měla její regulaci a zároveň dohled nad dodržováním těchto pravidel provádět veřejná instituce formou výkonu státní správy, a to plošně, anebo se jedná o soukromou záležitost, a pak by do ní stát neměl zasahovat vůbec. |
| ps2013-006-08-005-032.u6.p11.s1
| Zvláštnost předkládaného modelu korunuje fakt, že důvodová zpráva neobsahuje přesnou informaci o tom, jaké jsou nebo mají být ekonomické vztahy a dopady při provozováním národního CERT soukromým subjektem a jaké dopady na dosud neregulovaný trh bude mít právě toto udělení výhradní licence na provoz národního CERT jednomu vybranému subjektu. |
| ps2013-006-08-005-032.u6.p11.s2
| Záměrně říkám výhradní licence, neboť veřejnoprávní smlouvu mezi NBÚ a provozovatelem národního CERT je nutno za výhradní licenci považovat. |
| ps2013-006-08-005-032.u6.p11.s3
| Vedle toho všeho je zde technický nedostatek předlohy spočívající v tom, že potenciální provozovatel národního CERT nemusí být ani držitelem osvědčení o bezpečnostní způsobilosti podle zákona o ochraně utajovaných informací, ačkoli bude mít při své činnosti přístup k detailním informacím o zranitelnosti informačních systému u jednotlivých soukromých provozovatelů. |
| ps2013-006-08-005-032.u6.p12.s1
| Dámy a pánové, tento stát je pověstný svými IT zakázkami, které bývají nejen předražené, ale mnohdy i nefunkční. |
| ps2013-006-08-005-032.u6.p12.s2
| Prosím tedy, abychom při přijímání zákonů, jejichž existence zatíží buď státní rozpočet, anebo ovlivní ekonomické vztahy, byli velmi opatrní a hlasovali jen pro taková řešení, o jejichž nezbytnosti jsme stoprocentně přesvědčení. |
| ps2013-006-08-005-032.u6.p13.s1
| Tolik tedy ke kritice předloženého návrhu zákona o kybernetické bezpečnosti. |
| ps2013-006-08-005-032.u6.p13.s2
| Přes uvedené nedostatky doporučuji Poslanecké sněmovně, aby návrh zákona propustila do projednání ve výborech a do druhého čtení. |
| ps2013-006-08-005-032.u6.p13.s3
| V rámci druhého čtení však budu požadovat, aby předkladatel věrohodným způsobem vyvrátil ty pochybnosti, o kterých jsem zde hovořil. |
| ps2013-006-08-005-032.u6.p13.s4
| V případě, že argumenty nebudou věrohodné, zvážím předložení pozměňovacího návrhu, který v podstatě z návrhu zákona odstraní část týkající se národního CERT, tak aby součinnost mezi NBÚ a soukromými provozovateli CERT probíhala i nadále v režimu neformální spolupráce, která ve svém důsledku nepovede k outsourcingu bezpečnostních funkcí státu. |
| ps2013-006-08-005-032.u6.p14.s1
| Zároveň mi dovolte vzhledem k problematickému charakteru předlohy navrhnout podle § 91 odst. 3 jednacího řádu prodloužení lhůty na projednání ve výborech o 30 dnů. |
| ps2013-006-08-005-032.u6.p14.s2
| Děkuji za pozornost. |
| ps2013-006-08-005-032.u7.p1.s1
| Děkuji panu poslanci Fichtnerovi. |
| ps2013-006-08-005-032.u7.p1.s2
| S další řádnou přihláškou se přihlásil pan poslanec Antonín Seďa. |
| ps2013-006-08-005-032.u7.p1.s3
| Prosím, pane poslanče, máte slovo. |
| ps2013-006-08-005-032.u8.p1.s1
| Děkuji, pane místopředsedo. |
| ps2013-006-08-005-032.u8.p1.s2
| Vážený pane předsedo vlády, vážení členové vlády, vážené kolegyně, kolegové, návrh zákona o kybernetické bezpečnosti vychází z usnesení vlády o zřízení Národního centra kybernetické bezpečnosti, a nutno říci, že vzhledem k současným bezpečnostním hrozbám je potřebný. |
| ps2013-006-08-005-032.u8.p1.s3
| Přestože podporuji postoupení návrhu zákona do druhého čtení, dovolím si několik poznámek. |
| ps2013-006-08-005-032.u8.p2.s1
| Zdá se mi docela komplikovaná vlastní struktura rozdělení pracovišť CERT. |
| ps2013-006-08-005-032.u8.p2.s2
| Už to tady vlastně bylo řečeno. |
| ps2013-006-08-005-032.u8.p2.s3
| Otázkou také je, které z obou pracovišť bude tím, které bude navázáno na zahraničí a bude jednotným kontaktním místem pro celou Českou republiku, na které se bude zahraničí obracet. |
| ps2013-006-08-005-032.u8.p3.s1
| Zákon dále vymezuje prvky kritické infrastruktury, a to jak komunikační, tak informační. |
| ps2013-006-08-005-032.u8.p3.s2
| Co konkrétně bude spadat do kritické infrastruktury, rozhodne vláda svým nařízením. |
